Cuộc tấn công tài chính CREAM dẫn đến thiệt hại 23 triệu đô la trong AMP và ETH

Các tiêu chuẩn mã thông báo mới giới thiệu sự phức tạp mà các ứng dụng DeFi vẫn đang học cách vật lộn.

Ví dụ điển hình: Thị trường tiền tệ CREAM Finance đã bị tấn công vào ngày 30 tháng 22.8 cho phép những kẻ tấn công rút 4.2 triệu đô la trong mã thông báo AMP của Flexa và XNUMX triệu đô la ETH (dựa trên giá thị trường vào giữa buổi sáng thứ Hai).

Công ty bảo mật chuỗi khối Peckshield đã quy định cuộc tấn công theo cách hoạt động của mã thông báo AMP. Công ty đã tweet, “Vụ tấn công có thể xảy ra do một lỗi gần đây do $ AMP giới thiệu, là một mã thông báo giống ERC-777 và được khai thác để vay lại tài sản trong quá trình chuyển giao trước khi cập nhật khoản vay đầu tiên.”

Với 82.4 tỷ đô la tài sản hiện bị khóa trên các hợp đồng thông minh tài chính phi tập trung (DeFi), ngành công nghiệp này tạo ra một honeypot đầy trêu ngươi cho tội phạm mạng. Đã có một loạt các cuộc tấn công tương tự trong năm nay, bao gồm cả một cuộc tấn công trước đó trên CREAM trong tháng Hai.

Flexa là một mạng lưới thanh toán hỗ trợ tiền điện tử chạy trên Ethereum. Nó sử dụng mã thông báo AMP của mình để thế chấp các khoản thanh toán trên mạng của mình cho đến khi chúng được hoàn tất. Người sáng lập của nó, Tyler Spalding, nói với The Defiant qua Telegram, “Chúng tôi nghĩ rằng AMP đang hoạt động như mong đợi / dự định. Có vẻ là một lỗ hổng cho vay nhanh trên CREAM. ” 

Vấn đề đã biết?

Hầu hết tội phạm mạng không có những cách khai thác hoàn toàn mới một cách sáng tạo. Nhiều lần, họ chỉ đang thử các cuộc tấn công đã biết trên các mạng khác nhau để xem liệu có hiệu quả không. Trường hợp cụ thể, Spalding nói, dựa trên sự hiểu biết của mình, vấn đề dẫn đến cuộc tấn công vào CREAM tương tự như vấn đề mà ConsenSys Diligence đã gặp phải. được xác định trên Uniswap vào năm 2019. Nhóm của anh ấy đã liên hệ với CREAM để điều phối những việc cần làm tiếp theo.

Emilio Frangella từ nhóm kỹ thuật tại một giao thức thị trường tiền tệ khác Aave, nói với The Defiant rằng ERC-777s yêu cầu xử lý đặc biệt. 

“Nếu giao thức không có các biện pháp bảo vệ lần truy cập gần đây thích hợp hoặc không được triển khai theo cách khiến cho lần truy cập gần đây trở nên vô hại, thì điều này có thể được sử dụng để làm xáo trộn kế toán nội bộ của giao thức. Điều này có thể gây ra, ví dụ, có một người dùng có tài sản thế chấp cao hơn nhiều so với những gì thực sự được ký gửi, ”Frangella viết qua Telegram.

The Defiant không thể tiếp cận ngay với CREAM Finance.

Nguồn: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth